Der Miller-Rabin Primzahltest Florian Rienhardt Alle Rechte vorbehalten.

Transkript

1 1 Der Miller-Rabin Primzahltest Der Miller-Rabin Primzahltest Florian Rienhardt Alle Rechte vorbehalten. Zusammenfassung Für viele moderne Computeranwendungen, etwa für die Kryptographie, benötigt man zufällig gewählte Primzahlen bestimmter Größe, meist zwischen 128 und 4096 Bit. Bei Zahlen dieser Größenordnungen kann man jedoch nicht mehr die Schulmethode zur Überprüfung der Primalität einer gegebenen Zahl anwenden; Es bedarf hier einiger mathematischer Tricks und Transformationen, mit deren Hilfe man Primzahlen von zusammengesetzten Zahlen unterscheiden kann. Im Folgenden wird der Miller-Rabin Primzahltest vorgestellt, ein probabilistisches Verfahren, mit dessen Hilfe man mit einer voraussagbaren Wahrscheinlichkeit einen Primzahlkandidaten erkennen kann. Der Miller-Rabin Primzahltest wird folgend Stück für Stück entwickelt und anhand ausgesuchter Beispiele genau erläutert. Abschließend wird eine Analyse des Algorithmus folgen, deren Hauptaugenmerk auf der Fehlerwahrscheinlichkeit liegt. 1 1 Grundlage des vorliegenden Dokuments ist das Buch von T.H. Cormen, C.E. Leiserson und R.L. Rivest: Introduction to Algorithms, MIT Press/McGraw-Hill (1990). Diese Arbeit versteht sich nicht als formale (rein wissenschaftliche) Darstellung der Thematik, sondern richtet sich an interessierte Nicht-Mathematiker.

2 2 Der Miller-Rabin Primzahltest 1. Einführende Betrachtungen Für viele moderne Computeranwendungen, etwa für die Kryptographie, benötigt man zufällig gewählte Primzahlen bestimmter Größe (meist zwischen 128 und 4096 Bit). Glücklicherweise sind große Primzahlen nicht selten, so dass es nicht all zu viel Zeit kostet, aus einer Menge zufällig gewählter Zahlen, einen Primkandidaten zu finden. Für die Frage der Häufigkeit von Primzahlen gibt es die Funktion π(n), welche die Anzahl der Primzahlen n angibt. So gilt z.b. für π(10) = 4. Wie wir schon aus der Schule wissen, sind dies die Zahlen 2, 3, 5 und 7. Der Gauß'sche 2 Primzahlsatz liefert uns eine statistische Aussage über einen Bereich in dem Primzahlen liegen können, es gilt: lim π(n) = 1, so dass gilt 1*π(n) = n n (n/ln(n)) ln(n) Die Formel lässt sich auf die einfache Aussage zurückführen, dass der Quotient n/ln(n) asymptotisch äquivalent zu π(n) ist dies ist die Kernaussage des Primzahlsatzes. Mit dem Beweis dieser Approximation stellt sich ein weiteres Problem, welches erst am Ende des neunzehnten Jahrhunderts gelöst wurde. Im Jahre 1848 zeigte Tschebyschow ( ), dass der Grenzwert lim π(n) n (n/ln(n)) falls dieser existiert, den Wert 1 hat, was den Beweis des Primzahlsatzes bedeuten würde. Tschebyschow konnte diesen leider nicht finden. Erst 1896 bewiesen die Mathematiker Hadamard ( ) und De La Vallée Poussin ( ) unabhängig voneinander den Primzahlsatz. Wir können diese Approximation nutzen, um zu bestimmen, wie viele Zahlen wir in einer Umgebung von n zufällig wählen müssen, so dass eine davon prim ist. Möchten wir z.b. eine 512-Bit lange Zahl finden, so müssen wir in etwa ln(2 512 ) = 354,8913, also ~355 Zahlen in der Umgebung von n bestimmen, um eine Primzahl zu finden. Nachdem wir nun wissen, dass Primzahlen nicht all zu selten sind, müssen wir uns nun ein Verfahren überlegen, mit dem man feststellen kann, ob eine zufällig gewählte Zahl tatsächlich prim ist. Eine einfache Methode ist die so genannte Probedivision (engl. trial-testing). Die Grundidee dieses Verfahrens ist, n sukzessive durch Primzahlen 2, 3, 5, 7, 11,..., n zu teilen. Wenn es keine Teiler gibt, so ist die Zahl prim, wenn es Teiler gibt, so ist sie nicht prim, in diesem Falle liefert uns dieses Verfahren dann auch gleich die sog. Primfaktoren (d.h. die Primteiler) der zusammengesetzten Zahl. Die Faktorisierung von zusammengesetzten Zahlen soll uns an dieser Stelle allerdings nicht weiter beschäftigen. Weitere Informationen hierzu findet man z.b. in dem eingangs genannten Buch von Cormen, Leiserson und Rivest. Die Probedivision bietet den Vorteil, dass sie auf jeden Fall beweist, ob eine Zahl prim ist oder nicht. Leider ist dieses Verfahren nur bei relativ kleinen Zahlen effizient zu gebrauchen, da der Rechenaufwand exponentiell steigt. Ist n binär kodiert, so ergibt sich für eine Bitlänge von δ ein Aufwand von O( n) 2 ( δ /2). 2 C. Friedrich Gauß ( ).

3 3 Der Miller-Rabin Primzahltest Nehmen wir an, dass eine gegebene Zahl 58 Bit benötigt, dann müssen im Falle einer Primzahl etwa Tests durchgeführt werden, bis die Probedivision ein Ergebnis liefert. Nehmen wir an, dass ein Rechner in einer Sekunden 1000 Überprüfungen durchführen kann, dann bräuchte er in etwa 6 Tage, um mittels der Probedivision eindeutig zu bestätigen, dass diese Zahl prim ist. Dies macht das Verfahren praktisch nutzlos, da das trial-testing bei großen Zahlen, wie man sie heute bei vielen Computerapplikationen benötigt, wegen der langen Berechnungszeit nicht einsetzbar ist, müssen wir uns eine andere Methode für den Primzahltest ausdenken. Der französische Jurist und Mathematiker Fermat hilft uns mit einem kleinen aber wichtigen Satz: nur dann, wenn n prim ist. Beweis: a (n-1) 1 (mod n), a [2..n-1] Schreiben wir rein zufällig folgendes Produkt auf: Dies kann man umformen, und zwar Teilt man nun durch (n-1)!, so erhält man (1*a)*(2*a)*(3*a)*...*[(n-1)*a] (n-1)!* a (n-1), dies bedeutet, dass (n-1)! * a (n-1) (n-1)! (mod n) gilt. a (n-1) 1 (mod n). Was bringt uns der Satz von Fermat? Nun, wir müssen nur ein a [2..n-1] finden, so dass a (n- 1) 1 (mod n) gilt und wir können ausschließen, dass n eine Primzahl ist. In diesem Fall spielt die Zahl a die Rolle eines Belastungszeugen (engl. witness) dafür, dass n eine zusammengesetzte Zahl ist. Natürlich rechnet man nicht alle a [2..n-1] durch, da der Rechenaufwand ähnlich hoch wird, wie beim anfangs erwähnten trial-testing. Meistens nimmt man für a = 2 an, so dass sich folgende Programmfunktion ergeben könnte:

4 4 Der Miller-Rabin Primzahltest Funktion fermat_witness Eingabe: Ausgabe: Zahl n true falls ein Zeuge gefunden ist, false sonst function fermat_witness(n: integer): boolean begin if (2 (n-1) mod n = 1) then return false // kann prim sein else return true // ist auf keinen Fall prim end Liefert diese Funktion als Ergebnis true, so können wir absolut sicher sein, dass n keine Primzahl ist. 3 Liefert die Funktion jedoch false zurück, kann es sich unter Umständen um eine so genannte Pseudoprimzahl zur Basis 2 handeln, dies sind zusammengesetzte Zahlen, die den Fermat-Test zur Basis 2 bestehen. Nun stellt sich natürlich die Frage, wie viele dieser Pseudoprimzahlen existieren. Glücklicherweise sind dies sehr wenige. Nehmen wir z.b. alle Primzahlen 2 p , so existieren im genannten Intervall gerade einmal 22 dieser Pseudoprimzahlen. Man kann beweisen, dass die Chance, zufällig gerade so eine Pseudoprimzahl zu treffen, gegen 0 geht, wenn n wächst. Was wäre, wenn man andere Basen verwendet, so könnten wir statt Basis 2 die 3 nehmen, oder? Leider kommen wir da vom Regen in die Traufe, da auch Pseudoprimzahlen zur Basis 3, z.b existieren. Es existieren sogar zusammengesetzte Zahlen, die diesen Test für mehrere Basen bestehen. Ferner gibt es zusammengesetzte Zahlen, die den Fermat-Test für alle Basen b Zn* unbeschadet überstehen. 5 Diese Zahlen nennt man Carmichael-Zahlen, benannt nach Robert D. Carmichael ( ), der sie erstmals um 1910 beschrieb. Die ersten Carmichael Zahlen sind 561 (3x11x17), 1105, 1729, 2465, Dass dies stimmt, kann man mit einem guten Taschenrechner oder mit einer funktionalen Programmiersprache wie Haskell einfach durch nachrechnen prüfen. So liefert Haskell für folgende Eingabe Main> ([x x <-[2..560], x (560) `mod` 561 == 1]) == ([x x <-[2..560], ggt(x,561)== 1]) true. D.h., die Menge der Elemente von Z561* ist identisch mit der Menge der Zahlen aus Z561*, für die gilt x (560) 1 (mod 561). 3 Der Zeuge 2 bestätigt uns sozusagen, dass n ein falscher Fünfziger ist. 4 Andere Beispiele: 341 = ist eine 2-PRP, 91 = ist eine 3-PRP, 217 = ist eine 5-PRP und 25 = ist eine 7-PRP. 5 Zn * := {a Z n : ggt(a, n) = 1}

5 5 Der Miller-Rabin Primzahltest Wie Basis-2-Pseudoprimzahlen sind Carmichael-Zahlen extrem selten, es gibt nur 255 aus , dies ist jedoch kein Grund, sie nicht weiter zu beachten. Wir müssen unseren fermat_witness Algorithmus demzufolge so absichern, dass er sich nicht hinters Licht führen lässt.

6 6 Der Miller-Rabin Primzahltest 2. Der Miller-Rabin Primzahltest Ziel ist im Folgenden, aus Fermats Kriterium ein stärkeres herzuleiten, das nicht nur notwendig, sondern auch hinreichend für die Primalität einer gegebenen Zahl n ist. Diese Verfeinerung führt zum Miller-Rabin Primzahltest 6. Dieser Test basiert auf den Überlegungen von Miller, auf deren Grundlage Rabin in den 80'er Jahren des zwanzigsten Jahrhunderts den nach ihnen genannten Test entwickelte. Dieses Testverfahren löst die Probleme unserer ersten Funktion durch folgende Modifikationen: i) Wir benutzen weiterhin den Fermat-Test, verwenden mehrere echt zufällig 7 gewählte Basen und nicht nur eine, außerdem muss n ungerade sein, da ohnehin nur ungerade Zahlen prim sein können. ii) Eine Zahl x gilt ebenfalls als Belastungszeuge für n, wenn x 2 1 (mod n) ist, aber x 1 und x -1 n-1. 8 Wir stellen uns zunächst die Frage, wie man den Fermat-Test und die Suche nach der nicht trivialen Quadratwurzel von 1 geschickt verbinden kann. Nehmen wir an, dass die zu prüfende Zahl n = 561 sei 9, damit ist unser n-1 = 560. Sehen wir uns zunächst die binäre Darstellung der Zahl 560 an: = 560 ( = u) Betrachten wir die letzen vier in Fettdruck gehaltenen Nullen. Streichen wir diese vier Nullen und schieben die übrig bleibenden Stellen um 4 (=t) nach rechts, dann erhalten wir = 35 die Zahl 35. Um wieder (n-1) = 560 zu erhalten, rechnen wir einfach (2 4 ) * 35 = 16 * 35 = 560. Was soll das? Nun, mit diesem kleinen Trick können wir den Fermat-Test und die Suche nach einer nicht-trivialen Quadratwurzel sehr geschickt kombinieren. Wir berechnen zunächst a 35 mod n, dann quadrieren wir dieses Ergebnis 4-mal und können während wir Quadrieren, feststellen, ob eine nicht-triviale Quadratwurzel der 1 existiert. 6 Gary Miller entwickelte den Test um 1976, verwendete hierzu aber die damals noch unbewiesene Riemann-Hypothese. Michael Rabin gelang es dann 1980 auch dieses Manko zu beheben und stellte den Test auf eine sichere mathematische Basis. 7 Hier sollte man ggf. kryptografisch starke PRNG verwenden, die üblichen PRNG heute eingesetzter Programmiersprachen sollten vor allem im Bereich der Kryptografie nicht verwendet werden. 8 Wenn n eine Primzahl ist, dann ist Zn ein Körper. In einem Körper hat jede quadratische Gleichung höchstens zwei verschiedene Lösungen (das werde ich hier aber nicht beweisen). Nun hat aber in Zn* die quadratische Gleichung x 2 1 (mod n) schon die beiden Lösungen x = 1 und x = -1 n-1. Da n > 2 vorausgesetzt werden kann, sind diese auch verschieden. Gibt es nun eine weitere Lösung x, dann kann Z n kein Körper sein. Ist Z n kein Körper, folgt messerscharf, dass n auch keine Primzahl sein kann. Findet man ein x 1 und x -1, mit x 2 1 (mod n), spricht man von einer nicht-trivialen Quadratwurzel von 1 mod n. 9 also eine Carmichealzahl

7 7 Der Miller-Rabin Primzahltest Sei a = 2, dann sieht die Berechnung des Miller-Rabin Primzahltest für n = 561 in etwa so aus: i) 2 35 (mod 561) = (mod 561) = 263 ii) (mod 561) = (mod 561) = 166 iii) (mod 561) = (mod 561) = 67 iv) 67 2 (mod 561) = (mod 561) = 1 Wir haben soeben eine nicht-triviale Quadratwurzel gefunden, d.h. n ist keine Primzahl, was ja stimmt, da unser n = 561, wie wir wissen, eine Carmichael-Zahl, war. Die folgende Funktion witness realisiert den Fermat-Test zur Basis a. Die Berechnung von a (n-1) mod n wird wie folgt realisiert: i) Bestimme eine ungerade Zahl u und eine Zahl t, so dass gilt (2 t )*u = (n-1). Dies funktioniert stets, da n laut Voraussetzung ungerade ist, muss (n-1) gerade sein, daher lässt sich stets eine ungerade Zahl u und eine Zahl t finden, so dass (2 t )*u =(n-1) gilt. ii) iii) Berechne nun a u mod n, dann quadriere dieses Ergebnis t mal. Nach jedem Quadrieren des Zwischenergebnisses x wird jedoch zusätzlich geprüft, ob das Ergebnis 1 ist. War das zuvor berechnete x 1 und x n-1, so ist ein Belastungszeuge gefunden, durch den n als zusammengesetzt entlarvt wird, und die Funktion bricht mit dem Rückgabewert true ab. Zum Schluss wird wie im Fermat-Test geprüft, ob a (n-1) mod n 1 ist. Wenn ja, wird true zurückgegeben, d.h. Belastungszeuge gefunden, sonst false. Eine Realisierung als Programm könnte wie folgt aussehen:

8 8 Der Miller-Rabin Primzahltest Funktion witness Eingabe: Ausgabe: Zahl a, Zahl n true falls ein Zeuge dafür, dass n nicht prim, false sonst function witness(a, n: integer): boolean begin n-1 := (2 t )*u, wobei t > 1 und u ungerade x0 := modular_exp(a,u,n); for i := 1 to t do begin xi := 2 xi-1 mod n; if (xi = 1 and xi-1 <> 1 and xi-1 <> n-1) then return true; end if (xt <> 1) then return true // a ist Belastungszeuge gegen Primalität else return false; // a ist kein Belastungszeuge end Bei der Zahl n = 561 liefert der Fermat-Test mit dem Zeugen 2 nicht das Ergebnis, dass n zusammengesetzt ist. Die Funktion witness dagegen findet eine nicht-triviale Quadratwurzel, wie wir bereits oben gesehen haben. Damit lässt sich 561 als zusammengesetzt identifizieren. Der Miller-Rabin Primzahltest besteht nun schlicht aus einem s-maligen Aufruf der Funktion witness mit zufällig gewählten Zeugen a {1,..., n-1}.

9 9 Der Miller-Rabin Primzahltest Funktion is_miller_rabin_prime Eingabe: Ausgabe: Zahl n, Anzahl der Versuche s true falls Miller-Rabin prim, false sonst function is_miller_rabin_prime(n, s: integer): boolean begin end for j := 1 to s do begin end a := random(2,n-1); if (witness(a,n)) then return false; //100% nicht prim return true; //[(½ s )*100]% miller-rabin prim Der Miller-Rabin Algorithmus ein so genannter Monte-Carlo-Algorithmus. Monte Carlo-Algorithmen laufen schneller als deterministische Algorithmen, sie liefern aber mit einer gewissen Wahrscheinlichkeit ein falsches Ergebnis. Monte-Carlo Algorithmen gehören zur Klasse sog. probabilistischer Algorithmen, dies sind Algorithmen, in denen der Zufall eine wichtige Rolle spielt. In probabilistischen Algorithmen werden Zufallszahlen ermittelt, anhand derer eine Entscheidung gefällt wird, dadurch läuft ein solcher Algorithmus jedes Mal anders, auf diese Weise wird dann versucht eine Lösung zu finden. Deterministische Algorithmen brauchen dagegen oft sehr viel Zeit um Ergebnisse zu liefern, siehe beispielsweise trial-divison. Natürlich besteht die Gefahr, dass die Ergebnisse solcher Monte-Carlo Algorithmen nicht immer richtig sind, aus diesem Grunde sollte man stets bestimmen, wie hoch die Chance ist, ein falsches Ergebnis zu erhalten. Dies werden wir im nun folgenden Abschnitt auch machen.

10 10 Der Miller-Rabin Primzahltest 3. Fehlerrate des Miller-Rabin Primzahltest Im Gegensatz zum einfacheren Fermat-Test gibt es beim Miller-Rabin Primzahltest keinen schlechten Input in Form einer Carmicheal-Zahl oder Pseudo-X-Primzahl. Alles ist abhängig von der Anzahl der Tests und dem Glück bei der zufälligen Wahl der Basen a. Um nun zu beweisen, dass die Anzahl der so genannten Entlastungszeugen (n-1)/2 beträgt, werde ich kurz Lagrange`s Theorem angeben: Wenn (S, x) eine endliche Gruppe ist und (S',x) eine Untergruppe von (S,x), dann S' S, d.h. S' ist ein Divisor von S. Eine Untergruppe S' heißt echte (nicht-triviale) Untergruppe, wenn S' S bzw. S' {e} gilt. Ist S' eine nicht-triviale Untergruppe einer endlichen Gruppe S, so gilt S' S /2. In Bezug auf Miller-Rabin heißt das, dass die Anzahl der Entlastungszeugen (n-1)/2 ist. Das wiederum bedeutet, dass die Anzahl der Belastungszeugen mindestens (n-1)/2 ist. Wir müssen nun zeigen, dass es eine echte Untergruppe von Zn* gibt, die alle Nichtbelastungszeugen enthält. 10 Eine solche Untergruppe besitzt, wie wir wissen (n-1)/2 Elemente. Um dies zu zeigen, teilen wir den Beweis in zwei Fälle auf: 1. Fall: Es gibt ein x Zn*, so dass x (n-1) 1 (mod n) gilt. Mit anderen Worten: n ist keine Carmichael- Zahl, dieser Fall tritt in der Praxis übrigens am Häufigsten auf. Wir definieren die Menge der Entlastungszeugen mit E = {b Zn* b (n-1) 1 (mod n)} B ist nicht leer, da 1 E. Da E unter der Multiplikation mod n abgeschlossen ist, können wir sagen, dass E eine Untergruppe von Zn* ist. Man beachte, dass jeder Entlastungszeuge E ist, da a der folgenden Gleichung genügt a (n-1) 1 (mod n). Damit kann x nicht Element von E sein, da es aber Zn* ist, gilt x Zn* - E, damit ist E eine echte/nicht-triviale Untergruppe von Zn*. Daraus folgt, dass in E maximal (n-1)/2 Elemente (Entlastungszeugen) enthalten sind. 2. Fall: Für alle x Zn* gilt x (n-1) 1 (mod n). Mit anderen Worten: n ist eine Carmichael-Zahl, dieser Fall ist äußerst selten, trotzdem ist der Miller-Rabin Primzahltest in der Lage, diesen zu erkennen, anders als die Testverfahren, die nur auf dem kleinen Satz von Fermat basieren. Da n Carmichael-Zahl ist (damit keine Potenz einer Primzahl), können wir diese zusammengesetzte Zahl auch in der Form n1n2 schreiben, wobei n1 und n2 ungerade, relativ prim zueinander und > 1 sind. Das könnte dann wie folgt aussehen: 10 Zn * ist hierbei definiert als: Z n * := {a Z n : ggt(a, n) = 1}

11 11 Der Miller-Rabin Primzahltest damit ist n = p1 e 1 * p2 e 2 *... * pr e r, n1 = p1 e 1 und n2 = p2 e 2 *... * pr e r. Überlegen wir uns nun, wie unsere echte Untergruppe von Entlastungszeugen aussehen muss. Auf jeden Fall enthält B alle Elemente x, für die gilt x (n-1) 1 (mod n). Könnten da noch andere Elemente drin sein? JA. Überlegen wir uns kurz, welche Zahlen bei unserem Miller-Rabin witness-test auftreten können. Entweder sind nach Berechnung von x u mod n alle Zahlen = 1 (diese Zahlen sind bereits in B oder sie sind x (n-1) 1 und x (n-1) -1 n-1, dieser Fall interessiert uns hier aber nicht. Interessanter ist der Fall, dass an einer Stelle unserer Berechnungen (n-1) -1 herauskommt. Wieso? Na ja, -1 wird, soweit wir noch mal quadrieren zu 1 und gehört daher auch zur Gruppe B. Es folgt also: B = {x Zn*: x [(2^i)*u] +/- 1 (mod n)} für i aus [0,...,t] Wir zeigen nun, dass es ein w gibt, das folgendes erfüllt w [(2^i)*u] -1 (mod n1) w [(2^i)*u] 1 (mod n2), wobei i aus [0,...,t] ist. Daraus folgt aber, dass w [(2^i)*u] 1 (mod n1) ist, sowie w [(2^i)*u] -1 (mod n2), dies impliziert, dass w [(2^i)*u] +/- 1 (mod n). Wie kommt man auf w [(2^i)*u] +/- 1 (mod n)? Korollar (welches hier nicht bewiesen wird): a z (mod n), g.d.w. a z (mod n1), a z (mod n2),..., a z (mod ni) wobei n1,..,ni paarweise prim zueinander sind. Nachdem wir aber voraussetzten, dass w [(2^i)*u] -1 (mod n1) sowie w [(2^i)*u] 1 (mod n2) wird die gerade aufgestellte Forderung nicht erfüllt. Daher kann dieses w nicht Element der Gruppe B = {x Zn*: x [(2^i)*u] +/- 1 (mod n)} für i aus [0,...,t]} sein. Daher ist B eine echte/nicht-triviale Untergruppe, so dass B (n-1)/2. Was bedeutet dies jetzt für den Miller-Rabin Primzahltest? Beim ersten Durchlauf ist die Chance ½ (das ½ kommt von der Gruppenordnung, die ja maximal (n-1)/2 ist, also in etwa die Hälfte der Elemente von Zn* ), dass wir fälschlicherweise einen Entlastungszeugen erwischen, der behauptet n sei prim, obwohl dies nicht der Fall ist. Testen wir erneut, ist die Chance wieder ½, nachdem wir aber schon zuvor getestet haben, ergibt sich Aufgrund der Produktwahrscheinlichkeit eine Chance von 1/4, 1/8, 1/16, usw. Bei s Durchläufen kommt man daher auf [( ½ ) s ]*100 % Fehlerwahrscheinlichkeit.

12 12 Der Miller-Rabin Primzahltest Bereits für s = 50 erhalten wir eine Fehlerwahrscheinlichkeit von weniger als 8, e-14%. Es wäre schier ein Unding, wenn diese Zahl doch zusammengesetzt ist und der Miller-Rabin Primzahltest versagt hat aber es kann sein. An dieser Stelle sei angemerkt, dass man die Fehlerwahrscheinlichkeit sogar auf (1/4) s abschätzen kann, dies würde allerdings den Rahmen dieser Arbeit sprengen. Der hier dargestellte Beweis folgt dem in von Cormen, Leiserson und Rivest: Introduction to Algorithms, MIT Press/McGraw-Hill (1990) dargestellten. Einen Beweis zur Abschätzung auf (1/4) s findet man z.b. in N. Blum, Theoretische Informatik Eine anwendungsorientierte Einführung, Oldenburg-Verlag, (2001).

13 13 Der Miller-Rabin Primzahltest 4. Weitere Informationen Stimmt das? Behauptung : Wenn a (n-1) 1 (mod n), für a = 1, dann ist n eine Primzahl. Interessante Webseiten Unter dem URL findet der interessierte Leser weitere Informationen zur Thematik, außerdem kann man auf der Webseite mit einem sog. Java-Applet Zahlen mittels Miller-Rabin Primzahltest auf ihre Primalität testen. Eine formale Darstellung findet man auf den Seiten der Wikipedia unter dem URL Weiterführende Literatur T.H. Cormen, C.E. Leiserson und R.L. Rivest: Introduction to Algorithms, MIT Press/McGraw-Hill (1990) Song Y. Yan: Number theory for computing, Springer-Verlag, (2002) N. Blum, Theoretische Informatik, Oldenburg-Verlag, (2001) A. Beutelspacher, Lineare Algebra, Vieweg-Verlag, (2001) Einige Carmichael-Zahlen Es sei darauf hingewiesen, dass es im Internet (man suche z.b. mit Google) weitaus größere Listen von Carmichael-Zahlen gibt.

14 14 Der Miller-Rabin Primzahltest

15 15 Der Miller-Rabin Primzahltest Haskell Mit dem folgenden Programm für den Haskell-Interpreter Hugs2001 kann man selbst evaluieren, ob eine gegebene Zahl carmichael ist. Es ist mir bewusst, dass es bessere Methoden für diesen einfachen Test gibt, zugegeben gibt es weitere Eigenschaften für Carmichael-Zahlen, die eine weitaus leichtere Bestimmung dieser zulässt, im Rahmen dieser kurzen Arbeit habe ich allerdings darauf verzichtet. ggt(x,y) x == 0 = y y == 0 = x x > 0 = ggt(y,x `mod` y) carmichael x = [y y <-[2..(x-1)], ((y^(x-1)) `mod` x == 1)] == [y y <-[2..x], (ggt(x,y)== 1)]